Nowy rok, nowy ja i.. nowe zasady dotyczące ochrony stron internetowych. Rok 2018 to idealny moment na to, żeby obalić pewne nieprawdziwe, utarte schematy na temat bezpieczeństwa w Internecie.
Skończyły się czasy, gdy cyberprzestępstwa dotyczyły jedynie wpływowych osób i największych przedsiębiorstw na rynku, a pozostali mogli spać spokojnie. W ostatnich latach odnotowano dużą liczbę włamań skierowanych przeciwko zwykłym użytkownikom.
Co trzeba zrobić, żeby pozostać bezpiecznym w sieci w roku 2018? Poniżej przeczytacie o pięciu mitach, które jak najszybciej należy obalić w Nowym Roku.
5) Właściciele małych biznesów nie muszą obawiać się ataków na swoje strony
To nie jest prawda. Jeśli uważacie, że istnieje dużo mniejsze prawdopodobieństwo włamania się na stronę małego serwisu, niż dużej korporacji, to jesteście w błędzie. W gruncie rzeczy, niebezpieczeństwo jest nawet większe.
Wedle Słownika Języka Polskiego, cyberatak to:
“każdy rodzaj ofensywnego działania w Internecie osób lub organizacji, którego celem mogą być systemy informatyczne, sieci komputerowe, komputery lub inne urządzenia osobiste”. Może to być na przykład instalacja na serwerze skryptu rozsyłającego spam lub ustawienie niepożądanych przekierowań na stronie.
Według raportu przygotowanego przez firmę Symantec z kwietnia 2017 na temat zagrożeń bezpieczeństwa w Internecie, ponad połowa ataków – aż 62% – była wycelowana w małe i średnie przedsiębiorstwa. Symantec jest amerykańskim przedsiębiorstwem, które świadczy usługi w zakresie bezpieczeństwa teleinformatycznego oraz ochrony danych. Okazuje się, że podczas ataków na oprogramowania chronione przez Symanteca – aż 90% z nich była skierowana do największych korporacji, 74% dotyczyło małych i średnich przedsiębiorstw. Liczby mówią same za siebie – nie musisz być największym graczem na rynku, żeby paść ofiarą cyberprzestępstwa.
Hakerzy wiedzą, że duże przedsiębiorstwa byłyby dla nich dużo bardziej dochodowym celem. Mają również świadomość tego, że posiadają one znacznie lepsze zabezpieczenia. Atak na większą firmę zwiększa ryzyko popełnienia błędu i zostania złapanym na “gorącym” uczynku. Jeśli chodzi o mniejsze firmy, istnieje większa szansa znalezienia pewnych luk w bezpieczeństwie, więc mogą być dla hakerów pewniejszym celem. Błędne jest więc myślenie „jesteśmy za małą firmą, żeby stać się celem dla hakerów”.
4) Twoi pracownicy nie mają wpływu na Twoją sieć oraz bezpieczeństwo strony
Wydawałoby się, że ten mit został już dawno obalony, a jednak niektóre przedsiębiorstwa wciąż nie zdają sobie sprawy z tego, że to właśnie ich pracownicy (nieświadomie) mogą stać się jednym z największych zagrożeń dla bezpieczeństwa ich strony i sieci.
Pracownicy często nie zdają sobie sprawy z tego, że jedno kliknięcie w nieodpowiedni link bądź załącznik może ściągnąć nieszczęście na stronę pracodawcy i całkowicie zaburzyć bezpieczeństwo sieci.
Wydaje Ci się, że skoro posiadasz odpowiednio zabezpieczone środowisko komputerowe (antywirus, firewall) i infrastrukturę sieciową, to nie musisz się martwić o swoje bezpieczeństwo. Jednak najbardziej zawodny w tym wypadku może okazać się czynnik ludzki.
Na początku stycznia 2018, władze stanu Floryda ujawniły naruszenie dotyczące ponad 30 000 rekordów użytkowników znajdujących się w ewidencji państwowego systemu ubezpieczeń zdrowotnych po tym, jak ktoś w Agencji ds. Administracji Opieki Zdrowotnej padł ofiarą phishingu. Termin ten oznacza sposób oszustwa, polegający na podszywaniu się pod inną osobę bądź instytucję, w celu wyłudzenia danych. Pracownik we Florydzie otworzył niechcący „złośliwy” e-mail tym samym powodując wyciek wrażliwych danych.
Nie zakładaj z góry, że Twoi pracownicy rozumieją wszystkie zasady bezpieczeństwa w sieci – organizuj szkolenia i rozmawiaj z nimi na ten temat regularnie.
3) Wystarczy posiadać zaporę sieciową i dobre oprogramowanie antywirusowe, żeby uniknąć cyberataku
Niestety, to już nie wystarczy. Nastał moment, w którym żeby dobrze być zabezpieczonym w wirtualnym świecie, trzeba zainwestować w dobrego dostawcę tego typu usług. Dla nowicjuszy, koszt zatrudnienia efektywnego zespołu odpowiedzialnego za bezpieczeństwo może być nieraz zaskakująco duży. Mówimy tu o zakupie odpowiedniego sprzętu, zatrudnieniu i wytrenowaniu personelu oraz utrzymaniu infrastruktury bezpieczeństwa.
Istnieją jednak pewne alternatywy, pozwalające uniknąć tak wysokich kosztów. Dobrym przykładem takiego rozwiązania jest skorzystanie z oprogramowania SaaS, które pozwala na skuteczny outsourcing wszystkich usług, także tych dotyczących ochrony danych. SaaS (Software as a Service) oznacza dosłownie “oprogramowanie jako usługa”. Użytkownik nie musi kupować potrzebnego mu oprogramowania na własność, ponieważ może uzyskać dostęp do niego poprzez wykupienie abonamentu.
Oznacza to, że przedsiębiorca, zamiast wydawać potężne kwoty na zakup licencji, odpowiedniego sprzętu komputerowego, modernizację struktury IT, wyszkolenie pracowników – płaci usługodawcy za faktycznie zużyte elementy pakietów oprogramowania, których potrzebował. To właśnie po stronie usługodawcy leży odpowiedzialność za zarządzanie, aktualizacje, nadzór, pomoc techniczną i za właściwe działanie infrastruktury bezpieczeństwa. Wprowadzenie takiego rozwiązania pozwala na znaczne obniżenie kosztów finansowych przeznaczonych na ochronę danych.
Pamiętaj jednak, że obok stosowania wszelkich bardziej zaawansowanych zabezpieczeń, posiadanie profesjonalnego programu do skanowania i usuwania wirusów jest podstawą.
2) Masz wystarczająco silne hasła
Najgorsze co możesz zrobić, to stworzyć krótkie, proste hasło i używać jego na wszystkich kontach.
Upewnij się, że hasła, których używasz są wystarczająco trudne do zgadnięcia. I nie tylko przez pojedynczą osobę, ale także w przypadku brute force attack, czyli sytuacji, gdy hakerzy próbują wpisywać różne kombinacje słów tak, aby odgadnąć Twoje hasło. Najlepiej stwórz hasło z ciągów przypadkowych liczb, numerów i symboli. Unikaj oczywistych słów pisanych razem.
Nie poprzestawaj na samym haśle. Zalecamy Ci wdrożenie dwuetapowej weryfikacji – np. potwierdzenia mailowego lub telefonicznego. Więcej na ten temat pisaliśmy tutaj👇
Poza tym, dobrą praktyką jest co trzymiesięczna zmiana haseł. Tak na wszelki wypadek.
Utrudnij dostęp do Twoich serwisów najbardziej, jak to tylko jest możliwe.
Załóżmy, że jesteś w Starbucksie na dworcu kolejowym, zrelaksowany popijasz kawę i zaczynasz się zastanawiać czy wystarczy Ci jeszcze pieniędzy na zakup ulubionego ciastka. Co robisz w tym momencie?
Chcesz się zalogować do swojego konta bankowego. Tak się złożyło, że nie możesz się połączyć z siecią Starbucksa, więc nawiązujesz połączenie z pierwszym lepszym, darmowym WiFi o nazwie “Dworzec Główny Wrocław”. No właśnie. Czy wiesz, że w taki oto sposób być może podajesz wszystkie wrażliwe dane “na tacy” potencjalnemu hakerowi? Zdarza się, że hakerzy podszywają się pod publiczne sieci WiFi, celowo używając charakterystycznych nazw. Nawet jeśli dzięki certyfikatowi SSL nawiążesz bezpieczne połączenie z bankiem, to niepowołana osoba może wykraść Twoje dane, pliki oraz hasła do innych serwisów. Wystarczy, że wspomniany wcześniej certyfikat SSL został wydany przez niezweryfikowany podmiot.
Możesz jednak to powstrzymać – wystarczy, że odpowiednio skonfigurujesz sieć VPN, czyli Virtual Private Network. Pozwoli Ci to na zachowanie anonimowości podczas korzystania z sieci publicznej.
Kiedy łączymy się z dowolną witryną w sieci to nasz komputer wymienia z nią dane. Połączenie się z VPN sprawia, że tworzy się bezpieczny “tunel” między urządzeniem podłączonym do internetu a siecią np. firmową. Oznacza to, że przesyłane dane są szyfrowane i dzięki temu można spokojnie korzystać z WiFi w miejscach publicznych, bez obaw, że nasze dane zostaną przejęte przez osoby trzecie.
Ma to praktyczne zastosowanie – np. podczas pracy na zasadzie “home office”. Pracujesz w domu, ale dzięki połączeniu z VPN – masz bezpieczny dostęp do firmowej sieci.
Pamiętaj też o tym, żeby nie otwierać załączników od nieznajomych, nie podawać nikomu swoich haseł oraz aktualizować na bieżąco wszelkie oprogramowania.
1) Dopóki nie przechowujesz danych karty kredytowej klienta, nie musisz posiadać certyfikatu SSL
To prawda, że certyfikat SSL został początkowo stworzony dla serwisów e-commerce oraz stron, które zbierały dane personalne klientów. SSL (Secure Socket Layer) to protokół, który odpowiada za ochronę danych w sieci. Po odpowiedniej konfiguracji, certyfikat wymusza bezpieczne szyfrowanie HTTPS, które zabezpiecza dane przed kradzieżą czy manipulacjami.
Nietrudno się domyśleć, że ta funkcjonalność jest niezwykle istotna dla wszelkich transakcji finansowych, ewidencji danych w branży medycznej, sklepów internetowych czy dużych stron internetowych. Wyszukiwarki, takie jak Google oraz Mozilla, uznały posiadanie HTTPS za nowy standard w 2018 roku.
Oznacza to, że wszystko zmierza w stronę tego, że za jakiś czas wszystkie połączenia pomiędzy stronami internetowymi a ludźmi będą musiały być szyfrowane. Spowoduje to ogromną zmianę w świecie wirtualnym. Nie będzie miało znaczenia czy prowadzisz bloga, mały serwis informacyjny czy sklep internetowy i czy faktycznie zbierasz jakieś dane personalne klientów. Twój biznes, bez względu na wielkość i branżę, w 2018 roku będzie potrzebował certyfikatu SSL.
Wyniki badań dotyczących tego jaka część Internetu jest zaszyfrowana a jaka nie, znacznie się różnią. Wykazują jednak, że duża część Internetu nie korzysta z certyfikatów SSL. Może się to stać problemem w okolicach marca lub kwietnia 2018, gdy Google Chrome zacznie oznaczać połączenie z każdą niezaszyfrowaną stroną jako „niezabezpieczone”. Więcej szczegółowych informacji na ten temat przeczytasz tutaj (artykuł Łukasza o SSL).
Nieważne jakiego typu informacje personalne przechowujesz na stronie – w 2018 roku zakup certyfikatu SSL będzie Tobie niezbędny.
Szukasz solidnego dostawcy certyfikatów SSL?
Mamy nadzieję, iż ten artykuł był dla Ciebie pomocny i teraz już wiesz, jak w 2018 zapewnić ochronę swojej stronie internetowej. Pamiętaj, że bezpieczna strona = bezpieczny biznes.
Źródło:
https://www.thesslstore.com/blog/top-5-website-security-myths-leave-behind-2018/
https://www.cyberlaw.pl/biznes/saas-bezpieczenstwo/
https://www.polskieradio.pl/111/1896/Artykul/630409,SaaS-jest-bezpieczny-i-oszczedny
Polub nas na Facebooku
Wykonanie testu penetracyjnego jest najbardziej efektywnym sposobem oceny poziomu bezpieczeństwa strony internetowej, polecam netaudit.com.pl